Discussion:
APACHE <--> Nexcloud --> Strict-Transport-Security
(zu alt für eine Antwort)
Peter Bäumer
2018-09-09 08:29:33 UTC
Permalink
Glück Auf! Newsgroup,
meine Nextcloud (Hand)Installation ist am meckern das ich
"Strict-Transport-Security" nicht auf "15552000" Sekunden eingestellt habe.

In der Doku von Nextcloud steht:

This can be achieved by setting the following settings within the Apache
VirtualHost file:

<VirtualHost *:443>
ServerName cloud.nextcloud.com
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
</VirtualHost>

https://docs.nextcloud.com/server/13/admin_manual/configuration_server/harden_server.html

Da ich keinen VHost eingerichtet habe würde ich eine htst.conf Datei
unter /etc/apache2/mods-available anlegen und zu
/etc/apache2/mods-enabled Verlinken, mit dem Inhalt:

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>

Wäre das vorgehen soweit ok?
Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den Skripten
gefunden, gibt es da eventuell Probleme mit HSTS?


Siehe auch:
https://www.mgm-sp.com/wp-content/uploads/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf
Holger Bruenjes
2018-09-09 08:43:15 UTC
Permalink
Hallo Peter
Post by Peter Bäumer
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
das hilft Dir so nicht viel, Du musst pruefen ob sie nicht vorhanden
sind und gegebenenfalls laden, Du willst die Funktion ja in jedem
Fall haben.

<IfModule !mod_headers.c>
LoadModule mod_headers_module $pfad zum modul
</IfModule>

Holger
Peter Bäumer
2018-09-09 09:08:19 UTC
Permalink
Post by Holger Bruenjes
Hallo Peter
Post by Peter Bäumer
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
das hilft Dir so nicht viel, Du musst pruefen ob sie nicht vorhanden
sind und gegebenenfalls laden, Du willst die Funktion ja in jedem
Fall haben.
<IfModule !mod_headers.c>
LoadModule mod_headers_module $pfad zum modul
</IfModule>
Hat also nur funktioniert weil zufällig headers.load bei mods-enabled
verlinkt ist und daher das benötigte Modul schon geladen war.

die HSTS.conf müsste dann so aussehen:
<IfModule !mod_headers.c>
LoadModule headers_module /usr/local/apache2/modules/mod_headers.so
</IfModule>

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>

Danke für den Hinweis :)
Post by Holger Bruenjes
Holger
MfG
Peter B.
Juergen Edner
2018-09-09 09:02:27 UTC
Permalink
Hallo Peter,
Post by Peter Bäumer
Da ich keinen VHost eingerichtet habe würde ich eine htst.conf Datei
unter /etc/apache2/mods-available anlegen und zu
<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
Wäre das vorgehen soweit ok?
Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den Skripten
gefunden, gibt es da eventuell Probleme mit HSTS?
die von Dir gewünschte Funktion lässt sich über Parameter des apache2-
Paketes, aktuell nur für VHosts, aktivieren, Die Parameter heißen
APACHE2_VHOST_x_SSL_USESTS und APACHE2_VHOST_x_SSL_USESTS_SUBDOMAINS.

Bei Aktivierung wird derzeit folgende Zeile in die Konfiguration
geschrieben, sodass ich davon ausgehe dass der von Dir vorgeschlagene
Eintrag funktionieren sollte:

Header add Strict-Transport-Security "max-age=15768000; includeSubDomains"

Gruß Jürgen
--
Mail: ***@eisfair.org
Peter Bäumer
2018-09-09 09:25:09 UTC
Permalink
Glück Auf! Jürgen,
Post by Juergen Edner
Hallo Peter,
Post by Peter Bäumer
Wäre das vorgehen soweit ok?
Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den Skripten
gefunden, gibt es da eventuell Probleme mit HSTS?
die von Dir gewünschte Funktion lässt sich über Parameter des apache2-
Paketes, aktuell nur für VHosts, aktivieren, Die Parameter heißen
APACHE2_VHOST_x_SSL_USESTS und APACHE2_VHOST_x_SSL_USESTS_SUBDOMAINS.
Bei Aktivierung wird derzeit folgende Zeile in die Konfiguration
geschrieben, sodass ich davon ausgehe dass der von Dir vorgeschlagene
Header add Strict-Transport-Security "max-age=15768000; includeSubDomains"
Bin ich nicht drüber gestolpert da ich kein V-Host verwende.
Danke für den Hinweis.

Was mir aber aufgefallen ist:
APACHE2_SSL_OSCP <-- der müsste doch
APACHE2_SSL_OCSP heissen
^^
Hier ist
https://sslmate.com/blog/post/ocsp_stapling_in_apache_and_nginx
immer von OCSP die Rede und nicht von OSCP
Post by Juergen Edner
Gruß Jürgen
MfG
Peter B.
Dirk Alberti
2018-11-18 12:38:03 UTC
Permalink
Moinmoin,
Post by Peter Bäumer
Glück Auf! Newsgroup,
meine Nextcloud (Hand)Installation ist am meckern das ich
"Strict-Transport-Security" nicht auf "15552000" Sekunden eingestellt habe.
This can be achieved by setting the following settings within the
<VirtualHost *:443>
  ServerName cloud.nextcloud.com
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
    </IfModule>
 </VirtualHost>
https://docs.nextcloud.com/server/13/admin_manual/configuration_server/harden_server.html
Da ich keinen VHost eingerichtet habe würde ich eine htst.conf Datei
unter /etc/apache2/mods-available anlegen und zu
<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
Wäre das vorgehen soweit ok?
Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den
Skripten gefunden, gibt es da eventuell Probleme mit HSTS?
https://www.mgm-sp.com/wp-content/uploads/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf
genau das würde mich auch mal interessieren.

Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in
der .htaccess ?

In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
Eisfair-Paket) steht da bei den Empfehlingen sogar noch einiges mehr:

Zitat:

* Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
dass er „nosniff“ entspricht. Dies ist ein potentielles
Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
* Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
"15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
<https://docs.nextcloud.com/server/14/go.php?to=admin-security>
erläutert ist.

* Dein Web-Server ist nicht richtig eingerichtet um
"/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
in der Dokumentation
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
* Dein Web-Server ist nicht richtig eingerichtet um
"/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
in der Dokumentation
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
* Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
empfiehlt es sich
<https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
das Modul in Deiner PHP-Installation zu laden.
* Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
"no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
"strict-origin-when-cross-origin". Dadurch können
Verweis-Informationen preisgegeben werden.

Zitat Ende



Gruß Dirk
Juergen Edner
2018-11-18 15:02:18 UTC
Permalink
Hallo Dirk,
Post by Dirk Alberti
genau das würde mich auch mal interessieren.
Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in
der .htaccess ?
die .htaccess-Datei wird von Nextcloud gepflegt, sodass es hier jedem
Anwender selbst überlassen ist zusätzliche Konfigurationseinträge zu
definieren.
Post by Dirk Alberti
In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
Ich selbst lege weitergehende Einträge über eine Konfigurationsdatei
in /etc/apache2/mods-enabled fest.
Post by Dirk Alberti
 * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
   dass er „nosniff“ entspricht. Dies ist ein potentielles
   Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Hier wird seitens des Webservers eine Date
i/etc/apache2/mods-available/headers.conf mit den entsprechenden
Einträgen angelegt. Nextcloud selbst schreibt ebenfalls einen Eintrag in
die eigene .htaccess-Datei.
Post by Dirk Alberti
 * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
   "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
   Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
   <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
   erläutert ist.
Header add Strict-Transport-Security "max-age=15768000;
includeSubDomains"
Post by Dirk Alberti
 * Dein Web-Server ist nicht richtig eingerichtet um
   "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
   in der Dokumentation
  
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
 * Dein Web-Server ist nicht richtig eingerichtet um
   "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
   in der Dokumentation
  
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
Ich habe in meine Apache-VHost-Konfiguration einen Eintrag nach
folgendem Muster aufgenommen:

RedirectMatch ^/.well-known/(.*)$
http://<fqdn-des-webservers>/.well-known/$1
Post by Dirk Alberti
 * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
   empfiehlt es sich
   <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
   das Modul in Deiner PHP-Installation zu laden.
Für diese Modul legt aktuell noch das Nextcloud-Paket eine
Konfigurationsdatei in /etc/php7/conf.d bzw. ../cli an.
Post by Dirk Alberti
 * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
   "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
   "strict-origin-when-cross-origin". Dadurch können
   Verweis-Informationen preisgegeben werden.
Header add Referrer-Policy "no-referrer"

Gruß Jürgen
--
Mail: ***@eisfair.org
Dirk Alberti
2018-11-18 15:21:30 UTC
Permalink
Hallo Jürgen,
Post by Juergen Edner
Hallo Dirk,
Post by Dirk Alberti
genau das würde mich auch mal interessieren.
Wie ist das denn beim Eisfair-Nexcloud-Paket gelöst?  Mittels Eintrag in
der .htaccess ?
die .htaccess-Datei wird von Nextcloud gepflegt, sodass es hier jedem
Anwender selbst überlassen ist zusätzliche Konfigurationseinträge zu
definieren.
Post by Dirk Alberti
In meiner jetzt aktuellen 14er Nextcloud (auch Direktinstallation, kein
Ich selbst lege weitergehende Einträge über eine Konfigurationsdatei
in /etc/apache2/mods-enabled fest.
Post by Dirk Alberti
 * Der „X-Content-Type-Options“-HTTP-Header ist nicht so konfiguriert,
   dass er „nosniff“ entspricht. Dies ist ein potentielles
   Sicherheitsrisiko und es wird empfohlen, diese Einstellung zu ändern.
Hier wird seitens des Webservers eine Date
i/etc/apache2/mods-available/headers.conf mit den entsprechenden
Einträgen angelegt. Nextcloud selbst schreibt ebenfalls einen Eintrag in
die eigene .htaccess-Datei.
Post by Dirk Alberti
 * Der "Strict-Transport-Security" HTTP-Header ist nicht auf mindestens
   "15552000" Sekunden eingestellt. Für mehr Sicherheit wird das
   Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen
   <https://docs.nextcloud.com/server/14/go.php?to=admin-security>
   erläutert ist.
Header add Strict-Transport-Security "max-age=15768000;
includeSubDomains"
Post by Dirk Alberti
 * Dein Web-Server ist nicht richtig eingerichtet um
   "/.well-known/caldav" aufzulösen. Weitere Informationen findest Du
   in der Dokumentation
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
 * Dein Web-Server ist nicht richtig eingerichtet um
   "/.well-known/carddav" aufzulösen. Weitere Informationen findest Du
   in der Dokumentation
<https://docs.nextcloud.com/server/14/go.php?to=admin-setup-well-known-URL>.
Ich habe in meine Apache-VHost-Konfiguration einen Eintrag nach
RedirectMatch ^/.well-known/(.*)$
http://<fqdn-des-webservers>/.well-known/$1
Post by Dirk Alberti
 * Das PHP-OPcache-Modul ist nicht geladen. Für eine bessere Leistung
   empfiehlt es sich
   <https://docs.nextcloud.com/server/14/go.php?to=admin-php-opcache>
   das Modul in Deiner PHP-Installation zu laden.
Für diese Modul legt aktuell noch das Nextcloud-Paket eine
Konfigurationsdatei in /etc/php7/conf.d bzw. ../cli an.
Post by Dirk Alberti
 * Der "Referrer-Policy" HTTP-Header ist nicht gesetzt auf
   "no-referrer", "no-referrer-when-downgrade", "strict-origin" oder
   "strict-origin-when-cross-origin". Dadurch können
   Verweis-Informationen preisgegeben werden.
Header add Referrer-Policy "no-referrer"
vielen Dank, das werd ich mir diese Woche mal zu Gemüte führen.
Post by Juergen Edner
Gruß Jürgen
Gruß Dirk

Lesen Sie weiter auf narkive:
Loading...